0xMH

윈도우 환경 모든 유저에게 여러 개의 권한들이 있습니다. 어떤 유저인지에 따라 권한도 다르겠죠. 모든 유저에게 admin 권한을 주는 것이 너무 위험하기 때문에 유저가 하는 역할에 따라 그 유저에게 필요한 권한만 주는 것이 더 안전합니다. 하지만 해커가 발견했을 때 권한 상승이 가능한 권한들이 있는데 그중에 오늘은 SeBackup이라는 권한에 대해 알아보겠습니다. 먼저 유저에게 무슨 권한이 있는지를 확인하기 위해 "whoami /priv"를 입력합니다. SeBackup하고 SeRestore가 있는데 위험한 권한입니다. 이름 그대로 Admin 권한을 주는 것보다 시스템을 backup을 할 수 있는 권한을 주는 것이죠. SeBackup하고 SeRestore 권한들로 해커는 다양한 파일들을 read, writ..

Windows 해킹/권한상승 2022. 6. 19. 13:04

오늘도 BlueTeamLabs의 침해사고대응/Incident Response 랩을 하나 풀어보겠습니다. 랩마다 질문에 답하기 위해 필요한 tool이 다른데 오늘 wireshark .pcap 파일을 분석해 보겠습니다. 시나리오에 따르면 직원 "Josh Morrison"은 이메일 받았고 내용은 파일을 하나 다운로드하라는 말이었습니다. 아울러 SOC팀에 따르면 링크는 악성파일을 가리키는 링크였답니다. Wireshark는 HTTP을 비룻한 다양한 packet들을 캡처합니다. DNS, ARP, SMB, HTTP 등! 위에 시나리오에 "다운로드" "링크" 같은 힌트가 많으므로 HTTP 패킷 위주로 분석해야 할 것 같습니다. 1번-6번 질문: http 필터를 사용하기 때문에 HTTP 패킷만 뜨는데 그 중에 수상한 ...

Blue Team 2022. 6. 18. 17:48